«Страшная месть» сисадмина. Кто он: черный кардинал, саботажник, мститель?::Журнал СА 7-8.2012
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
20.12.2019г.
Просмотров: 4900
Комментарии: 0
Dr.Web: всё под контролем

 Читать далее...

04.12.2019г.
Просмотров: 6152
Комментарии: 0
Особенности сертификаций по этичному хакингу

 Читать далее...

28.05.2019г.
Просмотров: 7390
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 7734
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 6786
Комментарии: 0
Django 2 в примерах

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 «Страшная месть» сисадмина. Кто он: черный кардинал, саботажник, мститель?

Архив номеров / 2012 / Выпуск №7-8 (116-117) / «Страшная месть» сисадмина. Кто он: черный кардинал, саботажник, мститель?

Рубрика: Острый угол /  Острый угол

Игорь Савчук ИГОРЬ САВЧУК, работает в CoreLink Datacenter. Программист с 12-летним стажем. Автор более 200 опубликованных в печатной прессе статей по ИТ-тематике

«Страшная месть» сисадмина
Кто он: черный кардинал, саботажник, мститель?

Невыдуманные истории о том, как увольняются недовольные системные администраторы, и что из этого порой получается

Написать эту заметку меня побудила история, которой я невольно стал свидетелем. По ряду причин мне понадобилось посетить сайт одного из крупнейших российских издательств. В тот день этот сайт не работал, не заработал он и на следующий день, и через неделю тоже. Чуть позже по своим каналам я выяснил, что в результате слияния двух крупнейших издательств России произошла удивительная вещь: админа поглощаемой организации сократили, и он, уходя, что называется, крепко хлопнул дверью – все сетевые ресурсы издательства (и кое-что еще) были им уничтожены.

Нужно отдать должное руководству: через пару недель интересующий меня сайт все-таки ожил. Администрация на главной его странице сразу извинилась перед своими посетителями – она восстановила содержимое из резервной копии, сделанной… шесть лет тому назад, аккурат в момент запуска самой первой, исходной, версии данного веб-ресурса.

Насколько эта ситуация исключительна, да и необычна ли она вообще?

Личный опыт

Эта история напомнила мне мой собственный опыт: когда-то я работал программистом в крупной госструктуре федерального уровня, выполнявшей критически важную государственную функцию, но при этом я постоянно слышал от нашего чрезвычайно импульсивного админа, что он уничтожит все, если только его рискнут уволить. Нужно честно признать, что у него были основания для подобных опасений – руководство постоянно выражало недовольство его деятельностью.

За годы работы он выстроил хорошо продуманный и замкнутый на себе контроль над огромной ведомственной локальной сетью из тысячи компьютеров. Долгое выстраивание специфически бесправных отношений между множеством подчиненных ему региональных администраторов превращало этого сисадмина в ключевую фигуру всей организации, без которой невозможно было решить ни один серьезный вопрос, что охлаждало пыл руководства.

Как минимум я благодарен за его откровенность – этот опыт научил меня делать регулярные бэкапы всего и вся, имеющего отношение к моей работе. Еще на заре своей карьеры мне показалась странной такая неспецифическая для системного администратора роль «черного кардинала», которую я впоследствии увидел во многих организациях и компаниях.

Забегая вперед, хотелось бы сразу заметить, что подобная нездоровая попытка админов доминировать – это не какая-то отечественная специфика. Начав работать в Америке, я убедился, что абсолютно ничего не изменилось и на новом месте: многие тамошние админы все также «быкуют» по любому поводу, несмотря на всю строгость местных законов.

В тылу врага: подслушанные разговоры

Специализированные технические интернет-форумы – прекрасная площадка для откровений амбициозных и обиженных на свое руководство сисадминов, где прямо говорится посторонним многое из того, что остается скрыто от собственного руководства компании. Для примера приведу лишь несколько типичных реплик-отрывков, в общем-то, однотипных дискуссий подобной публики.

Наша справка: корпоративный саботаж

Это явление зафиксировано в западных терминологических словарях как устойчивое выражение начиная с 2004 года. Сейчас корпоративный саботаж определяется, как «вредительские по отношению к компании действия, лежащие в плоскости материального или репутационно-морального ущерба и совершенные инсайдерами в силу уязвленного самолюбия, желания отомстить, ярости и любых других эмоциональных причин».

Дополнительно поясним, что под термином «инсайдер» здесь понимаются «бывшие и нынешние сотрудники предприятия, а также служащие-контрактники, имевшие (или имеющие) прямой доступ к информационным системам предприятия в силу своих должностных обязанностей (или благодаря потенциальным возможностям, которые эти обязанности дают)».

Очень важно сразу внести ясность: «саботажник» не руководствуется желанием заработать и не преследует прямую финансовую выгоду – его действия мотивируются чаще всего спонтанной местью и другими эмоционально-личностными причинами. Этим, собственно, саботаж и отличается от других инсайдерских угроз.

Корпоративный саботаж стал уже обыденным явлением повседневной жизни. В частности, только в США за 2009-2011 годы осуждены по данной статье более 500 человек, не считая тех, чья вина так и не была доказана. Специально подчеркиваем, что число последних существенно больше; «сложнодоказуемость» – важная особенность именно этого типа преступлений, так как чаще всего предприятие имеет дело с высококвалифицированным специалистом, который к тому же «играет на своем поле», то есть прекрасно осведомлен о специфике систем безопасности в данном конкретном случае.

Только вдумайтесь: по данным InfoWatch, девять из десяти диверсий на предприятиях совершаются людьми, так или иначе связанными с информационными технологиями.

Корпоративный саботаж традиционно вычленяется в отдельную группу инсайдерских атак по причине его особенной опасности и разрушительности.

Например, в 2009 году у телекомпании WER1 были уничтожены все исходники популярного мультсериала Zodiac Island, а именно 500 Гб данных и 6480 файлов. Данный сериал транслировался на более 100 американских телеканалах, а права на его показ были куплены в 46 странах. Причиной инцидента послужило увольнение системного администратора из WER1, что фактически убило этот коммерчески успешный проект.

Похожий по разрушительности эпизод произошел и с лидером рынка моды Gucci, вся переписка, данные и финансовая отчетность которого были уничтожены вандалом-администратором.

Столь брутальные последствия характерны именно для саботажа, совершаемого «на эмоциях», и чаще всего отсутствуют при расчетливом коммерческом шпионаже и прочих инсайдерских атаках в целях получения наживы.

Очень активный на форуме админ reLax рассказывает свою историю увольнения:

«Когда меня наконец-то уволили за раздолбайство и прогулы, я со своего КПК подключился к офисному маршрутизатору и хитро подправил его таблицу маршрутизации. Офис неделю висел без связи, все были в панике, кого-то поочередно вызывали из разных компьютерных сервисов города, но их специалисты эту «проблему» не только не решили, а даже и не нашли. Короче, потом меня опять приняли на эту же работу... Конечно, уже с несколько большим окладом. Так что все эти ваши вирусы, коллеги, это все детский сад и прошлый век – мы должны учиться и совершенствоваться в классовой борьбе, а не топтаться в этом вопросе на одном месте».

Пользователь reLax оказался плодовитым на выдумку администратором, со знанием дела он заботливо учит своих молодых коллег по форуму, как нужно вести дела со своим работодателем:

«Всегда есть варианты устроить саботаж так, что никто и не подкопается. Например, сделать общедоступным прокси из этой компании и его IP-адрес, зарегистрировав его в соответствующих халявных каталогах и сайтах. Через некоторое время от провайдера такой счет фирме придет за трафик, что «мама не горюй» будет».

В перерывах между откровениями кто-то сокрушается, что админы – народ очень изобретательный, никакой уголовной статьи на них нет. На фоне этих обреченных вздохов очередной форумчанин под характерным ником GrayWolf описывает свой вариант того, «как он победоносно уходил с работы»:

«Я сделал все очень просто: как бы нечаянно проводок один задел, и вдруг отключился кулер над винчестером на нашем сервере. Естественно, через пару дней уже после моего ухода «винт» накрылся от перегрева. За день до увольнения прозорливое руководство заставило меня сделать бэкапы всего, как одно из условий расчета со мной, и я предусмотрительно сложил все именно на этот винчестер. Это был центральный сервер моей бывшей конторы... Они меня оштрафовали при увольнении за «недостачу» комплектующих и обучающей литературы – ну что ж, пришлось и мне оштрафовать их, теперь мы квиты. Сейчас я работаю на новом месте, здесь мне также не все нравится. После очередного скандала со здешним руководством я вдруг ясно осознал свой азарт, а также увидел себя как терминатора, который снова выходит на свою охоту…»

Не нужно делать каких-то обобщений на этих примерах, у админов разная ментальность и взгляды на жизнь – все как у обычных людей. Иногда они даже спорят друг с другом о применимости подобных методов.

Даем слово следующему участнику форума под ником lisss:

«Я вот не могу понять, зачем так пачкаться, зачем так опускаться? Если вдруг меня резко и неожиданно «уйдут», я просто никому не сообщу пароли, а с паролями у меня все в порядке – стоят на каждом компоненте и программе. Поскольку админские права есть только у меня, результат будет неплохим и все будет сравнительно по-честному. Правда, этот вариант не сработает, если есть целая команда администраторов, но в таком случае и вред товарищам по цеху наносить как-то низко...»

На это пользователь FRush флегматично возражает:

«Лениво все это, нужные провода отключать – лазить для этого в системник надо, еще пыли там наглотаешься, а пароли не выдавать – ругаться придется опять, нервы себе портить… А я просто, уходя, молча ткнул шилом насквозь в нужных местах на определенных патч-кордах. Еще помню, босс меня как-то чихвостил с умным видом на планерке – что такое эти твои сетевые коллизии? Вот теперь ему и случай подвернулся разобраться самому, что такое эти коллизии есть: это когда сеть сначала тормозит на ровном месте, потом опять работает как надо да и вообще отваливается по нескольку раз в день, и при этом все показатели и настройки с «девайсов» в полной норме. По словам моих бывших коллег, меня до сих пор там тепло вспоминают, что, дескать, при тебе все работало как часы, а вот теперь…»

Напоследок пример следующего участника дискуссии под ником Primer. Он показывает, что еще более худший вариант, когда такие недовольные администраторы вопреки мнению современной психологии «молча накапливают свое недовольство внутри себя», при этом не увольняясь и никак не высказывая своих претензий в открытой полемике, опасаясь своего жесткого руководителя.

«Никогда не нужно идти на прямую конфронтацию с законом и руководством, потому как свершить свое быстрое местечковое правосудие и уничтожить в отместку ценную информацию на жестком диске можно многими и недоказуемыми в принципе способами, например, замаскировав прямую диверсию под сугубо технические проблемы. Достаточно подать больше, чем нужно, напряжения на винчестер... Ведь внезапные скачки напряжения до сих пор далеко не редкость во многих регионах нашей великой и большой страны. А я вот перед этим праздником души предусмотрительно написал докладную записку генеральному – дескать, нужно купить дорогущий блок бесперебойного питания, а то работоспособность в таких условиях не гарантирую…

И подать эту бумаженцию с регистрацией да под роспись – будьте любезны. Ну, так это сразу было ясно, что «денег нет и не предвидится», не для того оно и писалось, это же настоящий карт-бланш для моей миссии! Ох и ах, противник понес уже первые потери в этой невидимой войне, теперь весь офис скорбит над почившим в бозе «винте» со всей отчетностью и клиентами… Но мне так даже и лучше: и деньги сразу нашлись на крутейший UPS, и босс новый еще лучший винчестер прикупил, теперь будет куда новые фильмы качать, да и  душе полегчало...»

Цифры и статистика

Самое время сделать небольшой перекур после горестных откровений системных администраторов и задуматься – быть может, люди на этом форуме какие-то особенные, зловещие и эгоистичные, цитирование которых несколько сгущает краски, бросая тень на эту прекрасную профессию? Давайте обратимся за помощью к статистике.

Американская компания Cyber-Арк в 2011 году провела массовый закрытый опрос сисадминов по всей Америке (опрошено более 2000 человек почти из всех Штатов), результаты которого, возможно, удивят руководство ИТ-служб.

Подавляющее большинство из опрошенных (88%) уверенно заявили, что в случае своего увольнения они унесут с собой все конфиденциальные данные, до которых только смогут дотянуться, и лишь 12% уверили, что делать этого не будут.

Более того, примерно 43% из респондентов утверждали, что, если босс будет несправедлив к ним, они оставляют за собой право на сведение счетов со своим работодателем.

Получается, что каждый изгнанный из фирмы сетевой администратор – это ощутимая угроза, особенно для «чистого» ИТ-бизнеса, где главный конечный товар – это как раз инфопродукт, интернет-сервис или некая программная разработка, которую можно скрытно унести на флешке, продать ее конкуренту или вовсе уничтожить как класс, удалив все исходники на бывшей работе.

Но это цифры по Америке, а может, наши отечественные и православные администраторы более привержены служению светлым гуманистическим идеалам человечества? Есть практически аналогичное исследование российского кадрового агентства Superjob. Позвольте привести и его цифры для объективности.

Итак, в этом опросе было установлено, что 70% администраторов считают продажу коммерческой информации конкурентам неэтичной и недопустимой. Лишь 8% сказали, что такие действия «в принципе допустимы», а вот 11% готовы сделать это в случае увольнения или за очень хорошие деньги.

Итого в сумме: неблагонадежен достаточно высокий процент – около 20% работающих системных администраторов. В связи с этим хочу сделать два замечания на полях.

Во-первых, данный опрос не был полностью анонимным, как это было в американском варианте, потому для таких условий считаю этот процент чрезвычайно высоким. Во-вторых, в российском опросе речь шла лишь о воровстве интеллектуальной собственности, но не было вопроса о «мести при увольнении»; будем считать этот высокий процент общим показателем нелояльности к своему работодателю.

И если уже взялись за цифры, хочется более точно отследить специфику этой деликатной проблемы, для чего я воспользуюсь статданными Американского центра реагирования на компьютерные инциденты (US-CERT). В отличие от синтетических опросов, упомянутых выше, приведем цифры, полученные уже на базе реальных киберпреступлений. И первое, что важно подчеркнуть: среди всех «отличившихся» на ниве корпоративного саботажа лидируют именно системные администраторы (см. рис. 1).

Рисунок 1. Статистика по типичным участникам саботажа

Рисунок 1. Статистика по типичным участникам саботажа

Именно системным администраторам принадлежит 38% от всех инцидентов на территории Америки (а если дополнительно учесть тенденцию, то окажется, что с годами их процент только растет).

Второй ключевой момент – это мотивы. Что же заставляет администраторов перешагнуть опасную черту, ясно обозначенную законом да и моральными понятиями тоже? На рис.2 мы видим, что основная причина – увольнение: 47% всех случаев были спровоцированы именно этим фактором.

Рисунок 2. Статистика по типичным причинам саботажа

Рисунок 2. Статистика по типичным причинам саботажа

Попробуем обобщить реальные цифры, чтобы описать среднестатистический портрет подобного «саботажника». Это, во-первых, однозначно мужчина. Во-вторых, работник ИТ-отдела, скорее всего системный администратор. Триггером послужило его увольнение, а сам инцидент случится скорее всего примерно через три – шесть месяцев после его ухода. Вероятность того, что мститель будет обнаружен, составляет 30:70 в пользу преступника, то есть его скорее всего не найдут.

Подводя итоговую черту под грустными цифрами, хочу заметить, что традиционно организации в лучшем случае выстраивают хорошо эшелонированную оборону от внешнего сетевого вторжения. Но в том-то и особая опасность нашей сегодняшней темы разговора, что она исходит от инсайдеров, т.е. людей, которые, с одной стороны, собственноручно ее создают и контролируют, а с другой – будучи облечены безусловным доверием, они по какой-то причине эмоционально выведены из равновесия и здравомыслия.

Развивая эту тему, давайте посмотрим дальше уже на реальных примерах, что происходит тогда, когда разгневанный админ в сердцах восклицает: «Я взбешен и больше этого не потерплю!»

Сисадмин выходит на тропу войны

UNUX-администратор Чарльз Денисон, работая в крупной американской электрокомпании, сильно повздорил со своим руководством, после чего получил уведомление об увольнении. Будучи смышленым малым, не теряя своего и чужого времени даром, Чарльз сразу приступил к приведению своего ответного приговора в исполнение.

Но к его изумлению он обнаружил, что весьма предусмотрительный босс уже лишил его прав в UNIX-системе предприятия. Этот неожиданный поворот привел к еще большей ярости: если админа лишают sudo, ему, безусловно, остается только проследовать в соседний магазин за битой.

Вернувшись в центр обработки информации компании, он принялся крушить компьютерное и сетевое оборудование. К счастью, разъяренный админ даже с битой в руках не столь опасен, как если бы он сохранял полный доступ к управлению системой – по заявлению руководства это могло бы привести к аварийному отключению электроснабжения по всей западной части США.

Примерно аналогичная по масштабу последствий история могла приключиться и в компании Fannie Mae – крупнейшем мировом ипотечном агентстве с оборотом более 60 млрд долларов.

Разгневанный своим увольнением рядовой администратор оставил в системе скрипт-закладку, который должен был «проснуться» спустя месяц после его ухода и автоматически уничтожить все хранимые финансовые данные (а также их многочисленные резервные копии). Шелл-скрипт сначала отключал довольно сложную систему мониторинга всех серверов компании, территориально разбросанных по всему миру, общее число которых превышает 5000. Вторая фаза его работы – побайтовое затирание-перезапись всех хранимых данных символом «0».

Спасла американскую ипотеку от полного коллапса и глобального уничтожения всех долгов лишняя запятая, случайно поставленная в .sh-скрипте, которая привела к запуску процедуры удаления данных без соответствующего отключения службы мониторинга. К счастью для руководства этого финансового гиганта, у админов в таких случаях не всегда есть возможность тщательно протестировать скрипт перед началом своей вендетты. 35-летний уволенный администратор Абухаи Маквена был арестован на следующий же день, и, как выяснилось позже, он подсмотрел пароль у высокопоставленного администратора компании еще в самом начале своей карьеры в Fannie Mae.

Очень похожие инциденты с разной степенью последствий происходили и в других крупных компаниях, перечислять которые здесь нет смысла. Важно на данных примерах лишь подчеркнуть, что с подобным разгневанным инсайдером очень тяжело иметь дело даже самым подготовленным ИТ-службам мира.

Уволить сисадмина и остаться в живых

Другой известный в США случай произошел с 48-летним системным администратором крупной клиники на Аляске, которого после его неудачных высказываний в адрес руководства поставили перед фактом увольнения. На следующий же день он снова явился на работу, но уже не с пустыми руками. Используя личное автоматическое оружие, он убил сначала начальника ИТ-службы, после чего и руководителя департамента госпиталя, в котором работал. Все коллеги характеризовали последнего как «очень доброго и мудрого человека», всегда принимавшего взвешенные решения. После этого сам сисадмин отказался сдаваться, открыв огонь по приехавшей полиции, чем добровольно подписал себе смертный приговор.

Множество аналогичных случаев зафиксировано по всей Америке, в том числе в Маунтин-Вью – самом сердце Силиконовой долины. В качестве примера хочется привести инцидент с сисадмином Цзин Хуа У, который застрелил троих топ-менеджеров из своей компании-работодателя SiPort, расположенной прямо напротив центрального кампуса Google.

Для данного дайджеста я недаром выбрал именно этот случай. Часто в разговорах кадровых специалистов высказывается категоричное мнение, что, дескать, западная система рекомендаций с прошлых мест работы как раз помогает выявлять подобный контингент сотрудников.

Я же убежден, что попытки безболезненно учиться на чужих ошибках далеко не всегда эффективны, рекомендательную систему трудоустройства важно не переоценивать.

Возвращаясь к описанному случаю, отмечу, что этот специалист проработал сисадмином в общей сложности 25 лет, в частности, в таких крупных организациях, как Adobe, Intel и Bell Labs. Он имел отличные рекомендательные письма, а на прежних местах работы его характеризовали как «очень спокойного, умного и скромного семейного человека».

Следует привести и отечественные примеры, коих также, поверьте, хватает с избытком. Наиболее интересен случай с луганским сисадмином Анатолием, который, будучи хорошим техническим специалистом, позволял себе постоянно спорить с руководством банка, где он работал. После многочисленных предупреждений он все-таки был уволен. Анатолию дали два дня на сдачу дел и на то, чтобы он навсегда покинул пределы банка. И эти два дня он использовал по полной программе…

Как результат, на следующее утро в кабинете управляющего раздался взрыв, всех сотрудников и посетителей банка пришлось срочно эвакуировать. Сам управляющий просто чудом не пострадал, так как в момент срабатывания «адского системника» вышел за документами. Вина Анатолия в минировании компьютера своего шефа была полностью доказана, он получил три года в колонии общего режима.

***

Да, часто в шутку админа дразнят одмин – от англ. odd mean, что можно примерно перевести как «необыкновенно подлый». Но при этом не стоит забывать, что в этом выражении обыгрывается стандартное английское словосочетание «odd man», что значит «член организации, чей голос является главным в решении вопроса».

Нельзя не согласиться с распространенной точкой зрения, что в нашем постиндустриальном обществе, стремительно входящем в информационную эпоху, сетевая инфраструктура предприятия начинает играть решающую роль в его управлении или производстве. В этом контексте руководитель организации, будучи далек от технических деталей функционирования подобной сложной информационной подсистемы, часто невольно отводит своему сисадмину гораздо большую роль, чем самому себе.

Нечего и удивляться, что впоследствии подчиненный воспользовался этой самой властью в своих личных целях. Доверие и лояльность – это одно, а безопасность компании – совсем другое.

Как считает Алексей Сухоруков, специалист по рекрутингу работников в сфере ИТ с многолетним стажем, «первоисточник подобных проблем в том, что во взаимодействии между техническим персоналом и их работодателем до сих пор нет четко регламентированных отношений». Поэтому увольнение подобного, объективно привилегированного специалиста часто похоже на развод ненавидящих друг друга супругов.

В любом случае при наличии заранее составленного и покойно продуманного аналога «брачного контракта» все проходит, как правило, с наименьшими потерями для обеих сторон.

Другая составляющая этой проблемы в том, что «… многие компании вообще не понимают и не оценивают те риски, которым они подвергаются со стороны инсайдеров», поэтому написание каких-то специализированных технических регламентов в подобных условиях будет как минимум не очень эффективным решением.

Именно поэтому, актуализировав сегодня саму проблему, в следующей статье из этого цикла мы попытаемся перейти к рассмотрению и детальному анализу действительно эффективных шагов по наведению должного порядка и контроля в этой непростой сфере, в том числе и с учетом лучших мировых наработок.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru